policy Enterprise

Política de Desenvolvimento Seguro

Política de Desenvolvimento Seguro abrangente que garante segurança incorporada ao longo de todo o ciclo de vida de desenvolvimento de sistemas para todos os sistemas internos e de terceiros.

Visão geral

Esta Política de Desenvolvimento Seguro define requisitos obrigatórios para incorporar controlos de segurança em todas as fases do ciclo de vida de desenvolvimento de software (SDLC), garantindo que todo o código — interno, externalizado ou de terceiros — é sujeito a validação de segurança rigorosa e se alinha com normas líderes como ISO/IEC 27001:2022, NIST SP 800-53, GDPR, entre outras.

Segurança de ponta a ponta

Aplica controlos de segurança ao longo de todas as fases de desenvolvimento para reduzir proativamente o risco.

Programação segura obrigatória

Exige a utilização de OWASP, SANS e normas de codificação específicas da linguagem, avaliação pelos pares e testes automatizados.

Supervisão baseada em funções

Define responsabilidades claras para o Diretor de Segurança da Informação (CISO), DevSecOps, desenvolvedores, QA e fornecedores terceiros.

Conformidade e auditoria

Alinha-se com ISO/IEC 27001:2022, NIST SP 800-53, GDPR, NIS2 e DORA para uma cobertura regulamentar robusta.

Ler visão geral completa
A Política de Desenvolvimento Seguro define requisitos de segurança obrigatórios para todas as iniciativas de desenvolvimento de software e sistemas na organização. O seu principal objetivo é garantir que os riscos de segurança são identificados, avaliados e mitigados de forma proativa ao longo do ciclo de vida de desenvolvimento de software (SDLC), quer os produtos sejam desenvolvidos internamente, externalizados para terceiros ou integrem componentes open source. Esta política aplica-se a todos os ambientes relacionados com o desenvolvimento de software — desenvolvimento, testes, staging, ambiente de pré-produção — bem como a todas as partes interessadas envolvidas, incluindo desenvolvedores, proprietários de produto, DevOps, QA, arquitetos, gestores de projeto, contratados, fornecedores e prestadores de serviços. Um pilar da política é a incorporação abrangente de controlos de segurança em todas as fases de desenvolvimento. Desde a definição de requisitos até ao design seguro, implementação, testes e implementação, esta política estabelece e aplica normas de Programação segura alinhadas com fontes de referência como OWASP, SANS, CWE e SEI CERT, bem como melhores práticas relevantes específicas da linguagem. A validação de segurança não é opcional: todo o código deve passar por avaliação pelos pares e análise de segurança automatizada antes de chegar ao ambiente de produção, garantindo que as falhas são remediadas cedo e de forma abrangente. A utilização de código open source e de terceiros é estritamente gerida através de aprovação, análise de composição de software, revisões de licenças e varreduras de vulnerabilidades. Os papéis e responsabilidades são claramente definidos para todas as partes. O Diretor de Segurança da Informação (CISO) supervisiona a aplicação da política e aprova as normas de Programação segura e as decisões de exceção. Os Líderes de Segurança de Aplicações ou Gestores de DevSecOps são responsáveis por desenvolver orientações, integrar testes de segurança em pipelines de CI/CD e definir protocolos de remediação. Espera-se que os desenvolvedores e engenheiros de software sigam práticas de Programação segura, participem em formação de sensibilização em segurança especializada e realizem revisões de código pelos pares. Os proprietários de produto e gestores de projeto têm a responsabilidade de incluir segurança nos requisitos do projeto e garantir que são alocados recursos adequados. As equipas de TI e infraestrutura devem proteger todos os ambientes de desenvolvimento e staging, aplicar o princípio do menor privilégio e monitorizar alterações não autorizadas, enquanto os desenvolvedores terceiros devem fornecer evidência de auditoria de qualidade de código e de adesão aos protocolos de segurança da organização. A política estabelece requisitos claros de governação, como a utilização de sistemas de controlo de versões aprovados com controlo de acesso aplicado, rasto de auditoria e proteções de promoção de código. A segurança é incorporada tanto em fluxos de trabalho tradicionais como ágeis, com atividades obrigatórias que incluem revisão da arquitetura de segurança, modelação de ameaças, análise estática e dinâmica (SAST/DAST), assinatura de código e gestão cuidadosa de segredos e credenciais. Os processos de Gestão de Exceções são detalhados: quando restrições impedem a adesão total, as exceções de segurança exigem justificação formal, análise de riscos documentada, controlos compensatórios e um ciclo de revisão/aprovação envolvendo líderes de segurança e o CISO. Todas essas exceções são revistas regularmente e tratadas com ações de remediação. São exigidas revisões e atualizações regulares da política em resposta a alterações de metodologias, incidentes de segurança graves, alterações regulamentares ou normas emergentes da indústria (como OWASP Top 10 ou SLSA). As revisões são controladas, versionadas e comunicadas através de canais oficiais, garantindo sensibilização e responsabilização em toda a organização. Esta abordagem rigorosa fornece à organização uma base de desenvolvimento seguro robusta, auditável e alinhada com normas.

Diagrama da Política

Diagrama que mapeia o Ciclo de Vida de Desenvolvimento Seguro: design seguro, modelação de ameaças, codificação, testes estáticos e dinâmicos, implementação e tratamento de exceções.

Clique no diagrama para visualizar em tamanho completo

Conteúdo

Âmbito e Regras de Envolvimento

Requisitos de Governação do SDLC seguro

Responsabilidades específicas por função

Requisitos de revisão de código e testes de segurança

Processo de exceção e Tratamento de riscos

Alinhamento com normas e regulamentos

Conformidade com frameworks

🛡️ Padrões e frameworks suportados

Este produto está alinhado com os seguintes frameworks de conformidade, com mapeamentos detalhados de cláusulas e controles.

Framework Cláusulas / Controles cobertos
ISO/IEC 27001:2022
8.1
ISO/IEC 27002:2022
8.258.268.27
NIST SP 800-53 Rev.5
SA-3SA-4SA-5SA-8SA-10SA-11SA-12SA-13SA-14SA-15SI-10SR-3
EU GDPR
2532
EU NIS2
21(2)(e)21(2)(f)
EU DORA
910
COBIT 2019
BAI03BAI07DSS05

Políticas relacionadas

Política de segurança da informação

Define o mandato estratégico para incorporar segurança em todos os sistemas de informação, dos quais o desenvolvimento seguro é um controlo operacional fundamental.

Política de controlo de acesso

Define as medidas de controlo para restringir o acesso a ambientes de desenvolvimento, repositórios, ferramentas de build e pipelines de CI/CD.

P05 Política de Gestão de Mudanças

Garante que alterações de código, lançamentos e implementações estão sujeitas a aprovação adequada, planeamento de reversão e verificação pós-implementação.

Política de Gestão de Ativos

Suporta o inventário de ativos de ambientes de desenvolvimento, repositórios de código-fonte e sistemas de build como ativos geridos sujeitos a classificação de ativos e proteção.

Política de Registo e Monitorização

Aplica-se a pipelines de desenvolvimento, garantindo que processos de build, promoções de código e eventos de implementação são registados, monitorizados e analisados quanto a anomalias de segurança.

Política de Resposta a Incidentes (P30)

Fornece o enquadramento para analisar e responder a falhas de segurança descobertas após a implementação ou durante testes de segurança de aplicações.

Sobre as Políticas Clarysec - Política de Desenvolvimento Seguro

Uma governação de segurança eficaz exige mais do que palavras; exige clareza, responsabilização e uma estrutura que escala com a sua organização. Modelos genéricos falham frequentemente, criando ambiguidade com parágrafos longos e funções indefinidas. Esta política foi concebida para ser a base operacional do seu programa de segurança. Atribuímos responsabilidades às funções específicas encontradas numa empresa moderna, incluindo o Diretor de Segurança da Informação (CISO), Segurança de TI e comités relevantes, garantindo responsabilização clara. Cada requisito é uma cláusula numerada de forma única (por exemplo, 5.1.1, 5.1.2). Esta estrutura atómica torna a política fácil de implementar, auditar face a controlos específicos e personalizar com segurança sem afetar a integridade do documento, transformando-a de um documento estático num quadro dinâmico e acionável.

Governação rigorosa de código de terceiros

Exige validação formal, varredura de vulnerabilidades e revisões de segurança da cadeia de abastecimento para todos os componentes externalizados e open source.

Ambientes de desenvolvimento/teste controlados

Impõe segregação, conjuntos de dados expurgados e acesso à Internet bloqueado para sistemas não produtivos para prevenir violação de dados.

Fluxo de trabalho de Gestão de Exceções

Fornece um processo estruturado para pedidos de exceção baseados no risco, aprovação e revisão periódica para tratamento rastreável de desvios.

Perguntas frequentes

Criado para Líderes, por Líderes

Esta política foi elaborada por um líder de segurança com mais de 25 anos de experiência na implementação e auditoria de frameworks ISMS em organizações globais. Foi concebida não apenas como um documento, mas como um framework defensável que resiste ao escrutínio de auditores.

Elaborado por um especialista com as seguintes qualificações:

MSc Cyber Security, Royal Holloway UoL CISM CISA ISO 27001:2022 Lead Auditor & Implementer CEH

Cobertura e tópicos

🏢 Departamentos alvo

TI Segurança Risco Conformidade Auditoria

🏷️ Cobertura temática

Ciclo de Vida de Desenvolvimento seguro Programação segura Testes de segurança Gestão de conformidade Gestão de risco de terceiros
€49

Compra única

Download instantâneo
Atualizações vitalícias
Secure Development Policy

Detalhes do produto

Tipo: policy
Categoria: Enterprise
Padrões: 7